Otomasyon ve gelişen teknolojiler SOC’lerin organizasyon yapısını geliştirip değiştirirken yeni görevler de üstlenmesine neden oldu. Yapay zeka ve makine öğrenmesi teknolojilerini içeren modern SOC’ler, sadece mevcut saldırıları önlemiyor, olası saldırıları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Siber saldırılar çağına girdik. Özellikle pandemiyle birlikte aylık siber atak bildirim sayısı yüzde 40 arttı. 2019 yılında siber güvenlik saldırılarının tüm dünya genelinde verdiği yıllık zarar 3 trilyon dolar olurken, yapılan tahminlere göre 2021 yılında siber saldırı kaynaklı kayıpların toplam maliyeti yıllık 6 trilyon dolara ulaşabilir. İşte bu noktada tüm şirketler ve kurumlar için SOC (Security Operations Center) yani güvenlik operasyonları merkezi kritik önem taşıyor. Özellikle yeni teknolojileri içinde barındıran modern SOC’ler siber saldırılan çağında en önemli merkezler olarak öne çıkıyor.
Siber güvenlik
sektörünün en büyük şirketlerinden Innovera da modern SOC’leri çok
boyutlu ele alan bir webinar gerçekleştirdi. Danışmanlık Servisleri
Direktörü Burak Tahmaz’ın moderatörlüğünde Onur Erbek ve Osman Karan’ın
konuşmacı olarak yer aldığı webinarda, kurumlar için modern SOC’nin
önemi, ideal SOC’nin nasıl olması gerektiği konuları detaylarıyla
konuşuldu.
OTOMASYON ETKİSİ
Kuruluşların güvenlik durumunu sürekli olarak izleyen ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerler olan güvenlik operasyonları merkezinin temel amacı iyi bir süreç yönetimi yaparak siber güvenlik olaylarını tespit etmek, analiz etmek ve bunlara karşı aksiyon almak. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşuyor. Ancak yakın zaman öncesine kadar geleneksel SOC’ler temel bir işlevi yerine getiriyor sadece siber saldırıları önlemeye odaklanıyordu. Otomasyon ve gelişen teknolojiler SOC’lerin organizasyon yapısını geliştirip değiştirirken yeni görevler de üstlenmesine neden oldu. Otomasyonla birlikte yapay zeka ve makine öğrenmesi teknolojilerini içeren modern SOC’ler, sadece mevcut saldırıları önlemiyor, olası saldırıları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Peki ideal SOC nasıl olmalı? Webinar’da bu sorunun yanıtını veren Onur Erbek, “SOC ideal sayıda ve nitelikte çalışanla hayata geçmeli. Sistem ve mühendislik ekibi olmalı. İnsan gücü birbirinden bağımsız katmanlı yapıda çalışmalı. Olayı izleyen ekiple, analiz eden ve tehdit avcılığı yapan ekipler birbirinden ayrı olmalı. Her SOC varlık envanterini çıkarıp neyi koruyacağını önceliklendirmeli” dedi.
İKİ TEMEL FONKSİYON
SOC’nin
en önemli iki temel fonksiyonunun tehdit tespit etme ve müdahale etme
mekanizmalarını kurmak olduğunun altını çizen Onur Erbek ise bu
mekanizmaları kurarken tasarımın şirket ve sektöre uygun olarak
gerçekleştirilmesi gerektiğine dikkat çekti.
SOC’ler kurum içi ve
dış kaynak kullanımı ya da hibrit olmak üzere farklı modellerde de
faaliyet gösterebiliyor. Bu seçimi yaparken yine şirketin bu işe
ayıracağı insan kaynağı, bütçe ve ihtiyaçları göz önünde bulundurmak
şart. SOC tasarımında seçilecek teknolojiler de kritik rol oynuyor.
Özellikle dinamik teknoloji kullanmayı tercih eden şirketlerin bu
noktada nelere dikkat etmesi gerektiğini Osman Karan şöyle paylaştı:
“Dinamik teknolojiler analitik zeka, makine öğrenimi ve yapay zekayı
mutlaka içeriyor olmalı. Siber saldırıları gerçekleştirenlere
baktığınızda yapay zeka ile dizayn edilmiş otomatik saldırı araçları
kullandıklarını görüyoruz. Dolayısıyla şirketler de savunmalarında
bunları kullanmalı. Dolayısıyla SOC teknolojileri seçerken makine
öğrenmesi ve yapay zekaya içerip içermediğine bakmak gerekiyor.”
“İŞ TEHDİT AVCILIĞINA DÖNÜŞTÜ”
Modern SOC ile artık işin tehdit avcılığı haline dönüştüğünü ifade eden
Onur Erbek, SOC’lerin yeterli olup olmadığının nasıl anlaşılacağına
ilişkin de şu açıklamayı yaptı: “Geleneksel SOC’de amaç saldırıları
önlemekti. Belli başlı zafiyet taraması yapılırdı. Ama şimdi modern
SOC’de yeni yeterlilik saldırıyı tespit edip yanıt verme. Erken tespit
ve buna hızlı yanıt vermek adına bu işi yönetilebilir şekilde yapmamız
modern yaklaşımımız. Bir SOC’nin yeterliliğe sahip olup olmadığını
anlamak için birkaç soru sormak gerekiyor. Olay nedir, etkileri neler,
nasıl oluştu sorularına net yanıt verebiliyorsa ve en önemlisi de alınan
önlemler sayesinde benzer bir olay sistemde tekrarlanmıyorsa o SOC
yeterlidir. Amaç da zaten SOC’deki analistlerin rutin alarmları
incelemeye çok az zaman ayırıp ihmal ettikleri tehdit avcılığına
odaklanmaları. Bu şekilde SOC belli bir yeterliliğe ulaşacaktır.”
sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.